DDoS Attacken auf Port 21

  • Hallo zusammen,


    seit ein paar Wochen wird mein Server alle paar Tage von DDoS Attacken heimgesucht. Vom Volumen her waren diese bisher zwischen 30MBit/s bis 80MBit/s. Die Folge dieser Angriffe war jedes Mal die Gleiche: Der Server ist unerreichbar, bis der Angriff stoppt.
    Selbstverständlich habe ich versucht Gegenmaßnahmen einzuleiten, jedoch ohne Erfolg. Daher wollte ich mich mal an euch wenden, was ich hier vielleicht übersehen habe. Bisher hat jeder Angriff ausnahmslos Port 21 attackiert:
    Src IP Addr:Port Dst IP Addr:Port Proto Packets Bytes
    <DEST_IP>:8284 -> <MEINE_IP>:21 UDP 1000 29000
    Da ich meinen Server so konfiguriert habe, dass generell kein FTP möglich ist, habe ich den Port 21 in meinen iptables blockiert:


    root:~# iptables -L
    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    DROP udp -- anywhere anywhere udp dpt:fsp
    DROP tcp -- anywhere anywhere tcp dpt:ftp
    [...]Referenzen zu fail2ban Chains hier[...]


    Diese Regeln habe ich wie Folgt erstellt:
    root:~# iptables -I INPUT 1 -p tcp --destination-port 21 -j DROP
    root:~# iptables -I INPUT 1 -p udp --destination-port 21 -j DROP


    Auf meinem Server nutze ich lediglich SFTP/SSH, kein FTP. Passwortauthentifizierung ist generell deaktiviert und nur Public-key-authentication ist erlaubt. Wie kann es sein, dass mein Server dennoch in die Knie geht, obwohl eigentlich der gesamte Angriff in der Firewall absterben sollte?


    Während des letzten Angriffs habe ich über die VNC Konsole per "htop" die Ressourcennutzung ausgeben lassen, siehe Anhang #1.
    Während eines anderen Angriffs habe ich per MTR (my traceroute) 500 Pings durchgeführt, siehe Anhang #2.


    Über jegliches Feedback freue ich mich sehr!



    Viele Grüße


    Matthias "Mad"

  • Was verstehst du unter "unerreichbar"? Ist kein einziger Dienst erreichbar oder der Server nicht pingbar?
    Da hier offenbar der DDoS-Schutz von netcup greift, kannst du auch einmal den Support kontaktieren. Vielleicht besteht die Möglichkeit den Schutz in deinem Fall zu optimieren, damit nur der Angriffs-Traffic gefiltert wird.

  • Kommen die au einer speziellen Region?
    Wenn ja könntest du diese per set/ match raus filtern.
    Bzw mit bitmap:port das filtern, da es weniger last hat, als deine beiden Regeln.

  • Vielen Dank für eure Antworten. Mit dem Support habe ich bereits Emails ausgetauscht / telefoniert und wurde auf das Forum verwiesen.


    Zum Thema unerreichbar: Auf dem Root läuft z.B. ein TeamSpeak 3 Server, diverse Webseiten, ein Mailserver etc. Alles war nicht erreichbar. Es konnte keine SSH/SFTP Verbindung hergestellt werden. Ich konnte aber per VNC Konsole auf den Server zugreifen und, wie in meinem ersten Post angehängt, mir die Ressourcennutzung per htop ausgeben lassen. Pingen lässt sich der Server nicht, da rund 96% Packetloss am filter04.netcup.net ist, siehe MTR Screenshot.
    Meine Schlussfolgerung: Der Server ist nicht ansatzweise ausgelastet. Die DoS Filter sind einfach zu stark und filtern viel zu viele nicht bösartige Pakete, sodass keine Verbindung mehr möglich ist (siehe Packetloss auf dem MTR Screenshot).



    Laut utrace.de kommen die ersten 12 IPs aus den Ländern:
    Brasilien, Schweden, USA (Mississippi), USA (Kensas), Chicago, New York, USA (West Virginia), Mongolei, China, Italien, Niederlande


    Es werden ein paar hundert IPs angegeben in dem Emailbericht von netcup. Hier ist also offensichtlich ein ganzes Botnetz am Werk und ich kann daher leider nicht einfach jegliche Traffic aus einem gewissen Land blockieren.

  • Viel interessanter als die Bandbreite (Mbit/s) wäre noch die Anzahl der Pakete pro Sekunde. Hast Du diese Information vom Support bekommen?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Hallo,


    nochmals danke für die Antworten. Ja, die Info über die Anzahl der Pakete habe ich erhalten.


    Treshold Packets: 30000 packets/s


    Sum Packets: 76448000 packets/300s (254826 packets/s)


    Sum Bytes: 2.07 GByte/300s (56.44 MBit/s)



    Das ist von gestern.
    Leider kann ich nicht einfach jegliche nicht-deutsche Traffic blockieren, da die Leute auf meinen TeamSpeak Servern sehr international sind - da kommen kaum mal zwei aus dem gleichen Land.

  • Vielen Dank für eure Antworten. Vielleicht schreibe ich einfach mal den Support an und frage nach, ob man bei solch einem Angriff einfach nur Port 21 blockieren kann. Was mich doch wirklich interessieren würde ist, ob mein Server ohne die DoS Filter auch in die Knie gehen würde. Ich tippe nämlich, dass er es überstehen würde. Allerdings würden evtl. andere Server durch die Attacke beeinträchtigt werden, wenn kein Filter aktiviert wird.


    Wie dem auch sei, danke für die Rückmeldungen.



    Viele Grüße


    Matthias